Home > Blog > Consejos > ¡Sentimientos no, consentimiento sí! El verano de todos los peligros…
A finales de julio de 2020, en mitad de la vorágine del COVID-19, ha pasado desaparecida una información muy importante para todo el mundo online español: la revisión por el Comité Europeo de Protección de Datos (CEPD) en mayo de 2020 de las directrices sobre consentimiento y la consecuente actualización de las reglas de la AEPD relacionadas con el tema.
Acaban de actualizar su Guía sobre el uso de cookies que adapta el contenido a estas nuevas directrices sobre consentimiento, revisadas por el CEPD.
Los nuevos criterios deberán implementarse, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para la adaptación.
Aparte de las reglas bastante conocidas por todos, me parece que hay que destacar los conceptos y las novedades siguientes:
- Por decirlo en pocas palabras, ahora seguir navegando ya no es una forma válida de dar su consentimiento, por lo que la regla en vigor en muchos sitios web españoles ya no es válida. Era de esperar, pero ¡está confirmado!
- Establecer un “muro de cookies” obligatorio para acceder al sitio web ahora está prohibido: el usuario, en todo caso, podrá negarse a aceptar las cookies y se le deberá ofrecer una alternativa.
- Se recomienda como mejor práctica la renovación del consentimiento en intervalos apropiados, pero no en cada visita, y aprovechar un consentimiento con una duración de no más de 24 meses vista, haciendo posible la modificación de este consentimiento en todo este periodo.
- Se establece una distinción muy clara entre las reglas aplicables a las cookies propias (que podríamos sintetizar como cookies de primera parte, el caballo de batalla de Eulerian desde años) y las cookies de tercera parte, que son claramente las más restringidas.
- La información sobre privacy y la gestión del consentimiento con respecto a las cookies deben estar apartadas de la información que se le ofrezca sobre otros asuntos, en particular de la aceptación de los términos o condiciones de uso de la página web.
- Para los menores de 14 años, el responsable del tratamiento tiene que esforzarse para que el responsable del menor sea quién dé este consentimiento (pero no pone un imperativo estricto, es una obligación de medios, parece)
Vistas estas modificaciones, que suponen la puesta en marcha de gestiones mucho más completas que una simple recopilación del consentimiento, preveo una generalización del uso de las CMP, las Consent Management Platforms.
Desde 2011 y la primera directiva sobre las cookies, las CMP forman parte del panorama de tecnologías digitales. Pero el uso de las CMPs está más extendido entre los editores, que tienen que colectar y gestionar datos de sus numerosos visitantes para utilizarlos con decenas de partners publicitarios, ad-exchanges, DSP, proveedores de datos. Todo eso sabiendo que el CPM es mucho más alto con datos que sin… y que, por supuesto, colectar o usar datos sin el correspondiente consentimiento puede costar muy caro con el RGPD (20M€, 4% de la cifra de negocios… ¡ouch!). Se estima la presencia de una CMP del 25 al 40% en el mundo de los editores anglosajones (fuente: digiday.com y Adzerk).
Los anunciantes no tardarán en adoptar las CMP de la misma manera, vistas las tasas de opt-in de las cuales presumen algunas CMP (entre 70% y 90%, dicen) y también del incremento de la calidad del dato (y por consecuencia, su usabilidad y su precio).
Las principales CMP
Las especialistas francesas Didomi (líder en España) y Sirdata, los otros players europeos como Cookiebot (Dinamarca), Consentmanager.net (Suecia), iUbenda (Italia) y Piwik (Polonia), cuyo origen europeo les otorga una ventaja con respeto al cumplimiento de las condiciones del RGPD y de las reglas de almacenamiento del dato en general (incluidos los backups).
Las especialistas americanas Quantcast, Onetrust, TrustArc y Crownpeak también están muy presentes, pero su punto débil (fuera de toda comparación funcional, que cada uno tendrá que hacer antes de elegir) justamente es su origen americano, por todas las dudas con respecto a la protección de datos en relación con EEUU, especialmente desde la anulación del Privacy Shield.
El mundo Open Source también se ha interesado en el tema, pero Oil.js tiró la toalla y está disponible en Github aunque sin mantenimiento. Parece que la Comisión Europea ha lanzado una iniciativa de software de este tipo, llamado Cookie Consent Kit.
Y por supuesto, agencias (Bmind, en España), ad-exchanges (Sovrn), DSP (Appnexus), especialistas en datos (Liveramp), herramientas de tag management (Tealium, Ensighten) han complementado sus ofertas con CMP más o menos avanzadas, más o menos caras, con más o menos adquisición de los datos de vuestros visitantes por sus propios intereses y su propio uso…
Y para terminar por el rey de jungla, Funding Choices, la CMP de Google, que acaba de anunciar su cumplimiento con el TCF V2.0 (Transparency & Consent Framework de la IAB) queda sorprendentemente a la cola de la cincuentena de CMP disponibles. Habría que investigar un poco para saber porqué no les interesa tanto promoverla y porque se queda tan limitada funcionalmente, con los medios que tiene el gigante americano de la publicidad…
Para no dejaros sin la información sobre la dolorosa: a nivel de costes las CMP de pago van de un precio de 30€ al mes hasta importes de varios miles de euros al mes.
Para asegurar a sus clientes el mejor cumplimiento con las normas de privacy y permitir el respeto del consentimiento colectado por sus clientes, con la tecnología que utilizan (propia o una CMP del mercado), las plataformas Eulerian funcionan en modo “CMP esclava” según las categorías de consentimiento marcadas por sus clientes, y condiciona tanto los saltos de tags como el funcionamiento S2S, y puede también reintegrar esta información en los datos de la DMP para condicionar audiencias. Eso con conectores ya desarrollados con las CMPs del mercado o con una integración ad-hoc, bastante fácil en Eulerian. Así se asegura la transmisión de este respeto del consentimiento colectado hasta las campañas, hasta la transmisión de datos mediante tags o llamadas S2S, hasta la data-science y todos los usos del dato en el cual Eulerian tiene un rol centralizador de los datos.
Para concluir, solo diría… ¡Al tajo, señores y señoras! Que me parece que hay un gran trabajo de adaptación por hacer en las webs que suelo visitar, aunque me agradece subrayar que España está, una vez más, dentro de los países más avanzados en este tema.